TWSNMPをセキュリティーチェックする（準備編）

TWSNMP間で連携するためにWebサーバーを組み込みました。外部からアクセスできるようにするとセキュリティーが心配になります。TWSNMPのWebサーバーを経由してパソコンを操作されては大変です。syslogやSNMP Trapなどの受信もポートをオープンしているので心配です。そこでTWSNMPのセキュリティーチェックをした話です。
猫は、昨日の雷とスコールのような雨の方が心配なようです。

Webサーバーを組み込んだ話は、

です。

今回は、準備編としてセキュリティーチェックに使う２大無償のツールの話です。有償の高級ツールのほうが安全と思うかもしれませんが、無償のものでもかなり問題点を見つけることができます。多くの場合、テスト部門の人が使うツールかもしれませんが、プログラマーがこれらのツールを使って作りながらセキュリティーチェックすれば効率よくセキュリティーレベルを上げることができます。プログラマーとしての腕前も上がるということです。

OWASP ZAP

Webアプリケーションのセキュリティーチェックのためのツールです。

The ZAP Homepage

インストールは

OWASP ZAP – Download

からインストラーをダウンロードしてインストールするだけです。
起動したら自動スキャンの画面で、TWSNMPにアクセスするURLを入力して＜Attak＞ボタンをクリックするだけです。

絶対、インターネット上のサーバーのURLを入力しないでください。あなたが攻撃者になってしまいます。

しばらくすると、Alertsのところに問題点がリストアップされます。ReportをHTML出力すると、

のような感じになります。中身の話は、解決編に書きます。

Nessus® Essentials

もう一つのツールは、Nessusの無償版です。プラットフォームスキャナーと呼ばれるもので、Webサーバー以外にオープンしているポートの脆弱性を診断できます。

Tenable Nessus Essentials 脆弱性診断ツール

から登録してダウンロードできます。
インストールの方法は

の動画がわかりやすいです。

こちらの診断結果は解決編で書きます。

つづく